我们正在开发一个networking系统,并考虑使用Open Idfunction。 你认为它比通常的login用户的方式更好吗? 如果我们使用Open Idfunction,这意味着用户将被redirect到他们select的Open Id提供者的网站,这将会采取更多的行动。 然后他们必须login并redirect到我们的网站。 用户会对此感到满意吗?
注意:这是更多的社交网站,但没有任何庞大的。
我喜欢OpenID,它比“传统”每个站点的凭证隐喻更好。 我不想要更多的凭据来pipe理,我不想信任J.随机站点来存储我提供的安全凭据。 我认为用户会越来越习惯于使用它。 希望它变得更普遍。
请指出,如果我们错了。
消极的看法
积极的意见
不要忘记,它不一定是一个或两个选项。 除了传统的login方法,您可以(也可能应该)添加OpenID支持。 这不会吓跑“一般”用户 – 他们只是使用现有的方法,而使用OpenID的人生活更愉快。
OpenID提供了许多优点,其中最主要的是允许你懒得authentication。 授权仍然是您的问题,但至less您不必担心安全存储凭证。 我认为这是一件好事。 “networking需要更多”依赖方像服务器故障。
如果您使用OpenIDlogin,则只需login您的提供商一次 – 第二次,用户甚至不会看到提供商的页面。
另外,也许RPXnow会很有趣。
我个人已经越过了爱的OpenID。 我曾经从一般的偏执狂中抵抗它。 现在,在一个美元的情况下,让所有的事情都保持直线,这太痛苦了。 我确实同意非技术用户起初可能会很挣扎,但我认为越广泛越容易获得。 有些网站既提供传统(本地)身份validation系统,也提供使用OpenID的选项。 我认为教育在这方面会有很大的帮助,所以如果你明确地解释一下OpenID是什么以及它的好处的话,那么接受程度就会很高。
作为单点login(SSO)技术,任何SSO都面临一般风险。 从这个angular度来说,我还没有准备好将我的银行或医疗网站整合进去:)不是说它是由他们提供的…
我会用OpenID来说明,你通常需要OAuth ,这个OAuth会受到低的压力。
其他人已经详细阐述了OpenID,OAuth增加了另一个站点不仅知道你是谁通过你的OpenID提供商,但你也可以告诉什么有问题的网站被允许知道你。
可能会很好。 那这些怎么样:
因此, OpenID + OAuth是一个很好的组合,通过使用你不仅有一个地方保存用户名和密码,而且还保存有关自己的详细信息,不要忽略哪个网站有权访问您的详细信息。
当OpenID获得许多用户的时候,我可以考虑一个场景。 假设一个主要网站丢失了数百万个用户密码给邪恶的黑客[*],并且这个名单泄漏出去了。 大多数用户将会陷入恐慌,不仅仅是因为一个特定的帐户,而是因为他们对多个站点使用相同的login名/密码。 而他们呢。 我知道,我知道 而且我没有跟踪这些帐户,所以结果是我永远不能更改我的密码 。
现在当我知道一个小人可以窃取我的账户,我该怎么办? 我会尝试通过改变密码这个压倒一切的任务。 或者我会偶然发现OpenID的概念,并尝试转换所有这些帐户。 这意味着我有效地仍然有多个网站的单一login/密码,但现在我可以至less轻松地更改所有这些密码。 而如果黑客窃取我的OpenID,我有一个问题要求重置密码或至less禁用该帐户。
[*] – 阅读:脚本小子
我访问各种网站越多,我想要一个单一的loginfunction。
每个网站认为他们是最重要的。 每个网站坚持说,你可以做任何事情之前,你创build一个帐户。 StackOverflow,Serverfault,维基百科,WowWiki,Wowhead,MS论坛,CodeProject,CodePlex,等等,…
他们都要求我创build一个唯一的用户名,密码,并叉上我的电子邮件地址。 然后他们坚持让我在发布,编辑,下载,点击,评论,评价等之前先查看我的电子邮件。 没有理由不让我使用你的网站,我马上进入它。
我只是想让他们闭嘴。 我想要一个单一的login,我可以随处使用,一个电子邮件地址是一个黑洞,所以我从来没有阅读他们的垃圾。
OpenID似乎是这样的。 但是只有Google支持它才有可能。 在此之前,这是StackOverflow自己的propritarylogin系统 – 他们懒得主持自己。 现在Google支持OpenID,实际上每个人都可以拥有它。
现在,我不愿意在网站上创build帐户,并且诅咒那些认为我应该首先创build帐户的运营商。
不要让我厌恶你的网站。
在双方都有使用openId的好处:1.开发人员不需要实现login系统(数据库,客户端处理,应用程序安全等)2.用户不需要记住一组额外的凭证。
在另一方面,你可能会吓到一些并不真正的电脑使用者,也不愿放弃说google的证书来login你的网站。
最好的解决scheme是允许OpenID和现场注册的hibrid系统,但是这真的会毁掉我提到的第一个好处。
另一件事OpenID给你的用户是能够使用更强大的凭据。 我在这里的回复中看到了一些关于networking钓鱼的担忧,但是您可以select一个根本不使用伪装/可重放证书的OpenID提供程序。 例如,某些提供商支持SSL证书或信息卡。 myOpenID有一个需要您在login之前接听电话的事情。我非常肯定还有其他网站使用硬件令牌。
是的,大多数用户可能只是点击雅虎button,不使用。 但它给了他们select,你不必担心实施细节。 我声称向您的网站添加OpenID支持比以跨浏览器的方式支持SSL证书更容易。 信息卡,电话validation,令牌validation,DDRpass,随机点立体图validation,或任何他们认为接下来的古怪事情都比支持所有SSL证书要容易得多。
我不想改变任何人的想法。 请考虑这些事实。 OpenID只是两个不同于用户名+密码authentication系统的东西:
我想指出的是,没有什么更改了:
这就像其他任何技术一样。 人们谈论的大部分内容都是神话,因为他们没有花时间去研究它,或者因为它们使用了错误的实现。
OpenID更复杂,并使您依赖于其他提供者不下来。
StackOverflow与之相关的一个问题是,如果你使用不同的OpenIdlogin,你会失去你的评级和徽章(也许他们已经修复了,现在还没有听说过)。 有一次我无法login一个小时,因为我的提供商已经closures了。
我讨厌openID,这是不注册在serverfault / stackoverflow的主要原因什么是用户隐私? 像我这样的一些用户,是非常偏执,不喜欢在各个网站之间混合Facebook /雅虎/谷歌的信息
OpenID,而良好的概念上面临海事组织一场艰苦的战斗,因为它是)开发人员很难实现和b)用户很难习惯使用URL的概念。 用户名/密码的使用模式在这一点上是非常根深蒂固的。
这就是说,看看Clickpass(www.clickpass.com)。 他们正在积极努力使OpenID更易于使用。
祝你好运。
还没。
它需要浏览器支持。 浏览器可以使用OpenID完成良好的用户体验,因为他们可以集中pipe理您的身份,并使事情变得非常简单(看起来您访问的网站使用的是OpenID,是否要使用http://yahoo.com /用户login?)和安全。
但是现在,您需要做出重大的努力来使OpenID可用。 正如我所看到的,您需要提供OpenID作为选项,或者为您的用户提供您自己的OpenID提供者(使他们可以自由使用第三方的服务)。
想客户。 你的目标客户是一个极客? 如果是的话,OpenID将打动您的客户,并帮助您的网站。 如果不是的话,那么使其非怪胎友好的额外工作将会耗尽客户关心的内容。 专注于为客户创造价值。
OpenID的问题在于,像ServerFault这样的事情是非常好的,在这种情况下,对某个人身份的信任程度并不是真正的考虑因素 – 一旦你开始关心,那就是生活变得复杂的地方。
它变得复杂,因为当我控制我的身份validation提供程序时,我隐式地信任该提供程序,因为我运行它,并且可能已经按照我所需的标准实现了它。 当我将身份validation移到我的控制之外时,我现在必须为身份validation提供程序分配一个信任级别。
在我的雇主,法律上,我不能信任任何主要的OpenID提供者,因为:
这不是一个全面的清单。
为了使OpenID适用于非平凡的应用程序,我需要一个值得信赖的提供者,并且必须将我的用户限制在可信的提供者(或多个提供者)中。 这种打败整个“单一用户名/密码”的优势。 即使如此,我仍然需要对信任度更高的用户进行身份validation。 似乎很多工作给我,尤其是当pipe理自己的身份validation提供者不是火箭科学。
IMO,各国政府有可能使这项技术发挥作用。 如果州/省DMV或邮局提供公民build立在线证书的服务,可以通过OpenID访问,您将能够信任邮局/ DMV证书。 (因为政府说:“你相信我们”)我相信像挪威和丹麦这样的国家已经发布了个人的PKI证书。
对于社交网站来说,OpenID将有助于吸引科技人才。 但是,如果这是你唯一的select,它会吓跑其他人。 用户习惯于在每个站点上注册新的login名和密码。 OpenID是新的和外国的,可能会让用户想知道为什么他们将凭据提供给第三方。 对于一个典型的用户,OpenID不如说GiveMeYourInformationSoICanSpamYou …这只是他们怀疑你的网站的完整性的另一个原因。
简而言之 – 确定您的用户群,并从头开始使用OpenID,或同时使用OpenID和应用程序pipe理的login系统。
我想知道为什么人们认为openID更安全。 对于精通技术的用户,这可能适用,但普通用户不会发现真正的openIDlogin和伪造密码之间的区别。
更糟糕的是,他们也会知道哪个openID账号与这个密码相关联,并且可能会比使用简单的用户名/电子邮件/密码组合造成更多的损失。
openID是技术用户的技术解决scheme,对普通用户不是很有帮助。 所以对于技术性的网站来说,它可能会变得浮华,但我不会很快看到普通的网站。
我想说的是, 从用户的angular度来看 , OpenID比通常的login解决scheme要好 ,原因如下:
请记住,仅仅因为你有OpenID的选项,并不意味着你不能给用户一个传统的用户名+密码组合的备份选项,以防他们不想使用OpenID或者没有提供者。 让用户select他们想要的,如果他们知道,否则没有错,否则默认为OpenID ,imo 🙂
开放式身份证是你们所喜欢或不喜欢的东西之一 – 我认为这真的归结为你是否积极或怀疑地看待“真实”的集中化。
换句话说,当你发现一个openid网站上的帐户被泄露时,你是否认为:“哦,现在我在每个使用openid的网站上都有可能被盗用”,或者“哦,好吧,现在我只需在一个地方将所有这些网站的密码更改。“
在这个领域工作,我们结束了许多不同的login凭证信息。 OpenID允许我使用已经build立的帐户来进行身份validation,而无需另外设置帐户和密码。 随着许多网站开始支持OpenID,您可以select使用OpenID身份validation程序来validation您的身份。
你也可以在你自己的网站上设置自己的OpenID身份validation器,如果你不想使用其中一个已经存在的。 通过这种方式,您可以更好地控制通过身份validation时所发送的信息。
我认为有select创build一个帐户或使用OpenID进行身份validation是一个很好的组合,涵盖了安全偏执狂和那些想要易于使用的。
我认为OpenID是伟大的,我们正在考虑它为我们的网站。 但是,我们需要oAuth,而且我们也想要用户的电子邮件。 我们广泛使用,我们做的一件事就是通过电子邮件通讯。 我们允许select退出,但为了我们的系统工作,我们希望这样做。
似乎有一个技术人员的核心群体讨厌放弃用户/密码,我可以理解这一点。 有些是隐私倡导者,我完全理解。 有些只是懒惰,不想设置一个用户/密码,有些只是采取。 他们想要从互联网上获取信息,但从来不以任何方式(广告,成本等)支付。我认为这是less数人,因为大多数人都明白他们需要回馈,或以某种方式付款。
你需要检查你的网站,你需要什么细节/信息,然后决定是否满足你的需要。 如果是这样,除了当前的login方法之外,还可以添加它。 你需要联系人,通知他们的事情等
有一个核心的方式来validation自己是很好的,但也有问题,如上所述,缺乏密码更改/复杂性。 但是,这是一个比网站问题更多的用户问题。 妥协发生在用户一级,我们永远不会解决。 但是,这意味着,作为网站所有者,如果它发生,则不承担责任。
我在OpenID中看到的唯一问题如下:
想象两个联属网站。 他们都允许OpenIDlogin。 当然,他们可以分享彼此之间的活动统计数据 – 比如我在第一个网站上做X行动,然后当我访问第二个网站时,根据我在第一个网站上的活动,我得到了有针对性的广告轰炸。 由于某些原因,OpenIDlogin之间缺乏隔离似乎对我来说有点不愉快。
但事实上,OpenID(一个有希望安全的证书集合)的最终便利不会因上述缺点而变得黯然失色。 我尽可能使用OpenID,而且我开发了一个公共使用的Web服务,我肯定会支持OpenID(也许是使用传统的注册选项)。